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La pr6sente invention concerne un microprocesseur 



OU 



microcalculateur impr6visible. 

„ est ccnnu que les .icrop^cesseurs ou ,es ™c«>caWa.eurs 
ox^cuten. ,6<,uen«e„e™rU des insuuctions successWes 
enrealstt* dans une m^molre, en s,™*^onism9 avec un ou p us,«^ 
de cadencemen. r.«renc.s par rapport . un des signaux dhorioge 
«!m-,s au miorcprocesseur ou au m.croca,cu.a.eur, soi, en -.nteme, so,t en 

s'es. av.r6 possible de connaitre ,es dlff^rentes phases de catte 
ex^ion de program™ en fonc«on du .en^s puiscue ''ex^-""" *J 
insuucuons s^effeCue se<,^n,ie,>en,en, suivan. un processus predetem-- 
par « programme, en g.n.ra, en syn^ronisme avec les s,gnaux d hortoge 
^ ca^ncent r^guU^remen. .e processeur. En e«e., tout ^"^J^ 
'Lit par une suite dinstruct^ns qui doivent *t™ ex.«*ees 
I^ssivement dans un ordre connu . l avance. ies instants de de.>. de 
„n .e Cheque instnxtion ..ant parfaitement connus car » — 
suivant un processus pr^dMermini en fonCion du temps. 11 est done en 
pLpe possible de savoir quelle est Hnst^otion qui s^ex^cute a un moment 
donn* dans I'uniti de traitement du processeur puisque le programme qu, 
deroule est constitu. de cette suite pred^tem,in^,e dinstnict,ons. 

on peut, par example d*tem,iner le nombre dinstructions exeoutees 
, partir du lancement du programme, du d^marrage de I'unK. de traUement^ 
ou ancore du temps qui s'est eca.16 depuis un .vehement, un s.gnal de 
r«.renoe extent ou interne, ou encore la remise * ..ro y-^^' 

cette possibility de pouvoir obsen/er le derouiement dun 
p^gramme dans un microprocesseur ou un microcaloulateur est un 
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inconvenient majeur lorsque ce microprocesseur ou microcalculateur est 
utilise dans des applications de haute securite. En effet, un individu mal 
intentionne poun'ait ainsi connaTtre les etats successifs dans lesquels se 
trouve le processeur et tirer parti de ces informations pour connaTtre certains 
5 rSsuitats sensibles de traitement interne. 

On peut imaginer, par exemple, qu'une action donn6e peut se 
produire d des instants differents en fonction du r^sultat d'une operation 
s§curitaire determinee. tel que le test d'une information confidentieile interne 
ou le dechiffrement d'un message, ou encore le controle d'int§grit§ de 

10 certaines informations. Selon I'lnstant consider6, on pourrait, par exemple 
agir sur ie processeur, ou obtenir la valeur de certains registres par 
investigation physique afin d'obtenir des renseignements sur le r^sultat ou 
sur le contenu confidentiel de Tinformation. et meme dans le cas de calculs 
cryptographiques. sur la cl§ secrdte de chiffrement utilis6e. 

15 il est connu des dispositifs qui apportent un premier 

perfectionnement aux microcalcuiateurs securises en les dotant de circuits 
qui gendrent des impulsions d'horloge aleatoires. De cette mani6re, 
I'observation des evdnements rend particulierement difTiciles les 
investigations, puisque leur synchronisation devient vite impraticable. 

20 Dependant, ce type de solution presente de nombreux 

inconvenients: 

Tout d*abord, la conception de tels circuits est particulierement 
delicate et fastidieuse car il n'est pas possible de simuler un fonctionnement 
aleatoire dans la totalite d'un circuit aussi complexe qu'un microcalculateur. 

25 II est encore plus difficile de tester ces circuits en fin de fabrication dans leur 
comportement brouilie. Une suite aieatoire d'impulsions d'horloge est en 
effet tres difficile e simuler pour la mise au point des circuits, mais il est 
encore plus difficile de maitriser tous les comportements de Tensemble des 
circuits logiques du processeur, notamment pendant les periodes de 

30 commutation des signaux sur les bus internes et dans les registres. 
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C-est pourquoi un premier perfectlor,nement, objet de la demande de 

„«grt pert^tionn*. procW. -'utnisaUon d'un te. crcu,. <^'^ 
Z^ pour permetue un for««onnemen, norma, du ^^J^ 
rSrlls de mise au polr,. e. de .est avec .ne hor>oge p*nod^ 
liCe- -e processeur ^ capaWe de commuter luinn^ le mode 

^ ce mode ne peut .tre ac«v. par ,e prooesseur <,ue sur 

pannes ,ors des s^uences sous ccatr6.e d'une ^^^^^ 
Le parfaitement d^soKlonn^. En effet. comment ^^'^J^ 

d^sordre, attribuer le prob>.me 4 une partie d«a«,ante e. detem>mer dans 

niielles conditions exactes il apparatt. 
5 ' on vo-,t <,ue . utilisation d'une horloge al^atoire. m.me si elle app^e 

un perfecBonnemen. th^rlpuement int^ressant, n appone pas une sojt^on 

paLemem satistaisante e. surtou. facile . mettre en ceuvre dans 

^"■"cest un des buts de Hnvention <,ue de doter ,e pro^ur de 
.0 moyens interdisan, le type cTinvesSgation d^ri. plus 
■ g^nValement d^emp^ct-er ,es observations illicites du ~; "^^-'J^^ 
du processeur tout en utilisant des circuits standards parfa«ement maitnses 
pUnt une conception simple et un diagnostic des dMauts reposan. sur 
,em..l»des.asslc^s^^^^^^^ ^ ^ ^ „cesseur 

mlcrocalculateur impr^visible, »mprenant un P---;^ ^ 
m^molre de travail, une mimoire principale contenant un sy^*n« 
TeZKation, un programme principal e. un programme secondare est 
caracterise en ce qu'il poss6de §galement : 
30 - une seconde memoire de travail; 
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- des moyens de commutation pemnettant, pendant rex6cution des 
programmes, de commuter Tutilisation comme m§moire de travail vers Tune 
de ses deux memoires de travail, tout en conservant leur contenu; 

- ces moyens de commutation comprenant au moins un bloc de 
5 registres de memorisation du contexte de d6roulement des programmes 

dans la m^moire principale et un circuit d' aiguiltage pour la validation d'une 
des memoires de travail et des registres d'acces associes a chaque m^moire 
et controles par ledit circuit d*aiguillage 

Selon une autre particularity, il possede un second bloc de registres 
1 0 de memorisation du contexte de d^roulement du programme secondaire. 

Selon une autre particularity, il possede des moyens de 
decorr6lation du deroulement des programmes par rapport S une horloge 
isochrone. 

Un autre but de Tinvention est de faire en sorte que la mise en 
15 oeuvre de ces moyens soit assurde par le processeur lui-m§me, de telle 
sorte que la s^curite suppldmentaire creee par les moyens ci-dessus ne 
d6pende que d'une decision du systdme d'exploitation situd dans le 
microcalculateur et par consequent soit imprevisible pour un fraudeur. 

Ce but est atteint par le fait que le programme principal peut 
20 autoriser ou inhiber le ou les mecanismes de commutation, par chargement 
du circuit de validation des m6moires de travail et des blocs de registres de 
memorisation associes d chaque memoire de travail. 

Selon une autre particularite, la deuxieme memoire de travail et ses 
registres d'acces se substituent, dans son utilisation par un programme 
25 principal, a la premiere memoire et ses propres registres d'acces. 

Un troisieme but de I'invention est de rendre le temps d'execution 
independant du programme lui-meme sans pour autant etre oblige d'utiliser 
des signaux d'horloge et de cadencement aieatoires. 
30 Ce but est atteint par le fait que les moyens de decorreiation 

comprennent un generateur aieatoire permettant de declencher par le circuit 



d'interruption une interruption aleatoire de d6synchronisation de rex§cution 
des programmes dans le processeur. par branchement al§atoire sur le 

programme secxjndaire. 

Selon une autre particularity, les moyens de decorr§lation 
6 comprennent un syst^me de comptage de temps independant du processeur 
1 permettant k la fin du comptage de temps de declencher une interruption 
pour revenir du programme secondaire au programme principal. 

Selon une autre particularity, le moyen de commutation des 
m6moires de travail est command^ soit par le processeur et son programme. 
10 soit par le systeme d'interruption aleatoire. soit par un compteur de temps, 
soit encore par une combinaison quelconque d'au moins deux parmi les 
trois. 

Un quatri§me but de Tinvention est d'eviter que les commutations de 
registres ne puissent etre interpr6t§es pour acceder directement ou 
1 5 indirectement aux informations sensibles. 

Ce but est atteint par le fait que le moyen de commutation des 
m6moires de travail est valide par le chargement a partir du processeur 
executant une s6quence du programme principal. 

Selon une autre particularite. le programme secondaire utilise un 
20 espace de travail identique a celui du programme principal dans la memoire 
principale. 

Selon une autre particularite, le programme secondaire utilise un 
espace de travail plus petit que celui du programme principal. 

Selon une autre particularite, le moyen de commutation effectue la 
25 substitution des memoires de travail et des contextes associes. k I'interieur 
du cycle d'execution d'une instruction du microprocesseur. 

Selon une autre particularity, le programme secondaire ne modifie 
pas le contexte general de fonctionnement du programme principal afin de 
permettre le retour ^ ce dernier sans avoir ^ retablir ce contexte. 
30 Selon une autre particularity, le contexte du programme principal est 

retabli soit automatiquement par le programme secondaire. soit 




automatiquement par le moyen de commutation, avant de redonner le 
contrdle au programme principal. 

Selon une autre particularity, il comporte des moyens de substitution 
de la m^moire du programme secondaire d la mSmoire du programme 
5 principal. 

Selon une autre caracteristique, le programme principal peut utiliser 
altemativement ou simultan6ment la premiere memoire de travail et/ou la 
seconde memoire de travail. 

Selon une autre caracteristique, le chargement du circuit d'aiguillage 
1 0 permet le masquage ou le d^masquage des interruptions de ddcorrdlation. 

Selon une autre caract6ristique, le retour au programme principal 
s'effectue par une interruption d§clenchee par le programme secondaire 
apr6s que le registre d'aiguillage ait ete convenablement charge, par 
execution d*une instruction du programme principal ou du programme 
1 5 secondaire, pour demasquer les interruptions. 

Selon une autre particularite. il est realise dans un circuit integre 
monolithique. 

D'autres particularitSs et avantages de la prdsente invention 
apparaitront plus clairement i la lecture de la description ci-apr6s faite en 
20 reference aux dessins annexes dans lesquels : 

La figure 1 represente le schema electronique du circuit integr6 
selon un des modes de realisation de Tinvention; 

La figure 2 represente le diagramme tempore! de Texecution 
d'instructions lors de I'apparition des interruptions et la prise en compte de 
25 rinterruption non masquee; 

La figure 3 represente une variante de realisation du circuit de 
chargement de Tun des registres de memorisation du circuit int§gre; 

La figure 4 represente le logigramme de la partie de programme (P2) 
permettant le retour au fonctionnement normal du circuit. 
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La figure 1 repr^sente run des modes de r.aUse.ion de rjnven.ica 

,„onolim,que con,portan. une mrt* ^ ^^^^ 

"'"''Ta^^ r^l^l^toires (2, .u. d.,W,e. par exen,p,e. des 
signaux aleatoires ou pseuu d'interruption 

(4). un registre (R2). un timer ^r^ }. roemory- 

i«4!i« I7\ (vmA) une m^moire «trompe ioeii» 3 
non volatile (7) i.i>iviwij, ^.«^r£»c<iane (A3^ et de 

— > - r r:rnrss7;— r iaU 

donr^(D3).deuxp,lesdereg.stres(54, 5 p ^.^ig^mage (53) 

.e .etour au ,onC,onr,en»n. normal ^"^rdlJles suffisan. 
«,nsBtue par example par un regisue ayan. — J"; ^ ^ ^ ^ 
po.con.6,er,e,onc„onnemen.desr^sjres.^^^^^^^^^^^^^^ 

' ^ tr\^\ (n3\ et un premier bloc (b4) ex un 
donnees (D1) et ^u^) ei un p chara6 par I'unite 

respectivement (531 D. 532 u. ooo ; commande, 
circul. d.a.ui„age comporte ^^^^^^ ^nVr-'^- ^ 
rune (533) aboutissant a une P°rt«/\'"' " ^„ eircuit 

^,.me en.r*e re^i. une ^ J^ri^emen. . run 

30 tfinte^ption. La sor«e de cette porte ET est connect 

des bits du registre de validation tfintermpUon lER (Wer-^P 
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register) pour permettre le masquage de Tinterruption declenchee par le 
circuit ^interruption (4) uniquement lorsque le circuit d'aiguillage n'a pas 6t6 
activ6 et lorsque par consequent la ligne (533) n'est pas active. 

Les deux autres lignes (534, 535) verrouillent chacune Tun des deux 

5 blocs ou piles de registres de memorisation (54, 65). Chacun des blocs 
comporte une pluralit6 de registres de memorisation (54), respectivement 
(55). pennettant le stockage des infonnations qui seront d6crites ci-apr6s. 
Ces registres (54, 55) sont reli§s au bus (3) commun aux m6moires. Ce 
m§me bus (3) permet le chargement du circuit d*aiguillage (53) avec les 

10 valeurs n6cessaires pour rendre les lignes (531 A. 532 A. 532 D, 636 A, 536 
D. 533, 534. 535) de commande actives ou inactives selon le mode de 
fonctionnement souhaite. La memoire non volatile (6) contient le systeme 
d'exploitation du circuit (operating system) et un premier programme (PI) 
d'application. dit programme principal par la suite, ainsi qu'un second 

15 programme (P2), denomm6 programme secondaire par la suite, le 
sequenceur (8), les registres (R2). le timer (R3) et le generateur al6atoire 
(R1) sont egalement relies au bus (3) et les trois elements (R1. R2, R3) sont 
reli6s d un circuit de generation d' interruption (4). lequel est branche sur les 
entrees d'interruption du processeur (1) en utilisant sur le registre de 

20 masquage d' interruption (lER) du processeur un des bits qui. en general, se 
trouve reserve et disponible pour des applications specifiques ^ certains 
utilisateurs. 

Dans un premier mode de realisation, le programme principal (PI) 
contenu en memoire non volatile (6) modifie. lorsque necessaire, retat du 

25 circuit d'aiguillage (53) par Tintermediaire du bus (3), ce qui ne presente 
aucune difficulte de realisation. Ceci met momentanement hors circuit la 
memoire RAM principale de travail (51) ou une partie de cette m6moire en 
agissant sur I'entree CE (chip enable) de validation d'un boTtier de memoire, 
ainsi que tous les registres necessaires du premier bloc (54). pour le retour 

30 au fonctionnement normal. Ces memoires et registres pourront etre 
avantageusement du type statique afin d'economiser Tenergie necessaire a 
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,eur ma-,mien. Le circuU <.a,«u,«a8e (53, subsMue done ^ „«mo,nB 
. w™«-.'oeil . (52) a la o^moire prindpale de trava.l (51) afin que les 
pS^a,es s-exLun. — exc.usive.ent .a m^oire . Ton-pe. oe^ 
Xrace de ,a Me pnncipale de «vai.. CeUe 

eli, M52) peu. «re s.U^ aux mimes adresses que ,a mimcre .^q- e 
Z se suiL, mais pe. sUu^ *aa.ement . una ad^sse d«er^^ 

Une solution avan.a.euse e. ^mique consiste ^ ^ ^^^^ 

RAM de free petite laille pour cette memoire « trompe-l'oe,! ». En effet, cet^e 

rioire «e.-oei.. ne .oua. aucun 

programme prindpal, on peut restreindre I'espace ad^ssable en d>m.™^ 
^simplelen. ,a longueur du registre dad-essage (A3). On peut 

. .•adresse sur elie^ en faisan. un OU-Exdusif entre p.us,eurs 
1 regist. d'adresse. /«nsi, si .'espace adressaPie de >a memo^ 
p^ipaie de travail est de 512 octets, on peu. restreindre .a memo,re 
Z:^W,i..3aodets sans aucun proP,.me,ce qui condu«ans.au^ 

realisation tr^s 6conomique. Ces 32 octets peuvent correspondre par 
Te^r. simpiement ajcuter une iigne de memoire RAM dans ia matno, 
r,:I'moi.^indpa.de travail. Ceueiigne aura danscecas^^^^^ 

regisl^s dadrasse (A3) et de donees (D3). Quand le ara,rt da,gu,llage 
, Sr^ve la memoire . trompe-foeil . cela peu. aussi interdire tout acCs 

enecrituredanslaNVM,defa?on4nepasperturbersoncontenu. 

on peu. avamageusemen., au sens de l'exe=u«on de la 
commu.a.ion, u.iliser aitemativement deux blocs de registres, un^m.r 
bloc (54) et un second bloc (55) contenan. d^acun tout le conte>*a 
3 r s'^L . fex.cu.lon du programme, e. s <^^^^^ 

programme respectivemen. (PCI) pour le prem.er bloc (54) et (PC2) pour 
Jnd bloc ,55), les registtes de dicodage 

premier et (D2) pour le second ainsi que -'autres .g,s.e. sy^U - ^ 
(T11T12 et T21,T22). Ces demiers reg.stres (T11. T12 . T21 et T ) 
,0 Inse^ent les param..res de fondionnemen, tel '^ ^-^^Z 
numero du cyde mad,ine dans lequel on doit se trouver. Tous ces «g,stres 




sont commut6s automatiquement par le circuit (53) d'aigulllage. Le 
changement d'adresse s'effectue dans ce cas instantan6ment, sans etre 
obllg6, comme c'est le cas dans la plupart des microcalculateurs, de 
sauvegarder, par une instruction specifique, le contenu du compteur de 

5 programme dans une pile de registres. Ainsi la commutation dans les deux 
sens est trds rapide (en general tres inferieure d un cycle d'horloge). ce qui 
augmente considerablement le niveau de s6curit6 du dispositif. Le meme 
m§canisme peut §tre utilis§ pour les autres registres qui sauvegardent le 
contexte de fonctionnement du processeur. comme {T1 1 d T22). 

10 II faut bien comprendre que lorsque le programme (P1), active par le 

chargement du registre d'aiguillage le fonctionnement en mode « trompe- 
I'oeil » du circuit int6gre, ce circuit d'aiguillage (53) va bloquer la premiere 
pile de registres (54), laquelle conservera les paramMres ant6rieurs S 
reparation « trompe-l'oeil » de fonctionnement du circuit, pour red6marrer IS 

15 ou le programme (P1) avait 6te interrompu. De son c6t6, la seconde pile de 
registres (55) sera utilisee pour permettre le fonctionnement normal du 
circuit avec la m6moire « trompe-roeil » en execution du programme (P2). II 
est bien evident egalement que dans ce cas le bit du registre lER de 
masquage des interruptions, correspondent au fonctionnement en mode 

20 « trompe-l'oeil ». aura et6 demasque, ceci de fa^on a permettre, lors de la 
generation tfune Tinterruption, soit par le generateur aleatoire, soit par le 
timer (R3) prealablement charg§ par le generateur aleatoire avec un nombre 
aleatoire et a la fin de Tecoulement du temps represente par ce nombre, soit 
par le registre (R2) qui aura ete charge par des informations particuliferes, de 

25 declencher Tinterruption (31 ) de passage du fonctionnement normal sous le 
controle du programme (PI) au fonctionnementen mode « trompe-roeil » 
sous le contrdle du programme (P2). 

La figure 2 illustre le fonctionnement en mode interruption. Le 
diagramme montre qu'une premiere impulsion d' interruption IT, 6mise par le 

30 circuit tf interruption sur la ligne (31) vers Tunite de traitement (1). n'est pas 
prise en compte car elle a ete masquee en agissant sur le registre et le 
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.asquage tfin.em,pUon par une insm,Cion "MOVE imm^.at data to 
register lER" de chargement de donn^e dans le registre de masquage. On 
suppose .ue Vinsm-Cion en cours d^maspue finterruption de d^outemer* 
oela peut «re par toute autfe ir«.ruclion 4 un insUn, d«^.). La 
5 TeL.™ impulsion es. ce«e .ois prise en co,r,p.e par run,., de .ra*^em 
(1) ce qui fai. con-mute, le ci,cui. d'aiguillage (53) e. par v»e de 
^Ins^ence. ie second Moc de regis.es (55, e, -a 
deviennen. actffs . ,a plaoe du pre™,ier b.oc (54, e. de ,a m.™,re . ^o,np^ 
roei. . RAM (51). on notera que .a prise en oomp.e de l ™ 
10 se faire que lors de la .ransiUon d'un ^ * un autre, par exenipie em« (82) 
e, (S3) ceci ann de a^moriser un *tat stable et coherent de la maehme, et 
surtout'de restituer exaotement le *ta, lors du retour au prognm^ 
interrompu. Si cette interrup«on est prise en compte, comme ces^ e cas 
,«bi.ue,, . la «n d^une instruction, i, nV a pas de probl^me ^'--^^ 
15 la reprise du progran^me interrompu. puisque ce.le-a s'opere normalea,e,^t^ 
rinst^Cion suivante. Par centre, si cette interruption a Ueu en cours 
d'ex^ion d'une instruction, par exemple . .'etat (82), il faut ,b,en entendu^ 
<^e les dicuits de s*quencement soient r^tablis ^ I'identique, de fajon 4 
enclencher correCemen. .'^a. (S3) lors de la reprise 
20 interro^pu. Ceci peut per exemple .tre r.a,is. par "^'-"^'^f 
le registre (T11) et le sSquenceur (8) per l'intermed,a,re du bus (3) 
™o.™nt de la reprise. Cette liaison peut ^element .tre sp.cif,que ^ns 
passer par ,e bus (S3). On peut aussi avantageusement mettre les reg^tres 
de m^morisaUon d'eta. dans le s^quenceur lui-m4me, ce qu, ev,te 
25 mobilisation du bus pendant cette phase. 

De cette mani^re. par une interruption, le prcgramn,« principal (P1) 
peut autoriser et/ou provoquer la commutation sur un programme secondare 
(P2) ainsi que d^crit plus bas. Quand le programme seconda,re n estp^us 
30 actif I'^ta. du Circuit d'aiguillage (53) est Chang* et la memo,re de trava.l 
RAM retrouve sa configuration premiere sans modmcation. ce qui pennet au 




programme principal de reprendre son cours exactement au point ou il avait 
§t6 interrompu. On peut aussi faire en sorte que lorsque le programme 
principal (P1 ) veut se prot6ger, il declenche par deroutement lui-m§me un 
programme secondaire (P2) qui engendre un traitement de longueur 

5 al6atoire a des instants cholsis par lui, soit au debut soit en cours de 
traitement de fagon d brouiller les diff6rentes sequences. Le fonctionnement 
du processeur peut alors etre pilot§ par le programme secondaire (P2) qui 
peut. par exemple, d6clencher une boucle rfattente dont le temps depend 
d'un nombre al6atoire issu du g§n6rateur (2). Le programme secondaire 

10 peut s'executer en utilisant les parties de m6moire non utilis6es par le 
programme principal afin que ce demier puisse reprendre son cours normal 
soit des que le programme secondaire lui transmet S nouveau le contrdle 
soit encore d la prochaine interruption, soit encore en utilisant le timer 
comme precedemment, ou soit en utilisant une combinaison des deux. Le 

15 programme secondaire peut aussi utiliser des ressources communes d 
condition qu'il r§tablisse le contexte du programme principal avant de lui 
redonner le contrdle. 

On pourrait 6tre tent§ de dire que ces mecanismes s'apparentent k 
rex§cution d'un branchement de programme principal vers un programme 

20 secondaire avec retour en fin d'execution de ce dernier mais celui de 
invention est tr§s different: 

le programme secondaire n'execute aucune fonction 
obligatoirement en relation avec le programme principal. 

- la taille de la memoire « trompe-roeil » (52) peut etre beaucoup 
25 plus petite que celle necessaire au d6roulement normal d'un programme. 

- le contenu de la memoire « trompe-roeil » (52) n'a aucune 
importance car elle ne sert qu'a brouiller les pistes. 

- il est possible, avec ce mecanisme rapide. d'entrelacer les 
instructions de programme secondaire avec celles du programme principal. 

30 - il n'est pas necessaire de sauver le contexte du programme 

secondaire. puisque ce demier ne sert qu'a brouiller les pistes. 
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Dans un deuxieme mode de r6alisation. lorsque le processeur fait 
commuter le circuit (53). il active en meme temps un timer (R3) initialise soit 
d raide du g§n6rateur al6atoire (2). soit S partir du contenu de la m§moire 
non volatile NVM (7). Cette NVM du type E2 PROM, par exemple ou ferro- 

5 electrique. peut en effet contenir un nombre unique modifie d cheque 
utilisation de la NVM. Quand le timer (R3) amve S §ch6ance au bout d'un 
temps impr6visible. il d§clenche le retour au programme principal en 
commutant aussi le circuit d'aiguillage (53) pour remettre la m6moire 
principale dans Tespace de travail. Ce m6canisme peut s'executer. soit par 

10 le biais d'une interruption classlque. soit encore par une action directe du 
timer (R3) sur le circuit d'aiguillage (53) et par action sur les registres (PCI) 
et {PC2) controlant Texecution des programmes par Tunite de traitement (1) 

tels que (PC1 ) et (PC2). 

Dans une variante. il est possible d'utiliser pour le programme 
15 secondaire (P2). une partie quelconque du programme principal (PI) en 
pointant au depart sur une adresse au hasard et en realisant une inversion 
des octets qui sont issus de I'adresse et/ou en inversant. par exemple. le 
contenu du registre (ID2) par cSblage k I'envers ou encore par un circuit de 
d§calage a gauche du contenu d'une adresse. On aura ainsi I'assurance 
20 que ce programme executera des instructions completement fantaisistes. 

Une autre variante pour permettre I'ex^cution d'instructions 
fantaisistes pourra §tre constituee par la figure 3 dans laquelle un registre 
de d6codage d'instructions temporaire IDT est reiie. d'une part au bus (3) 
par une portion de bus (33) et d'autre-part. a la seconde pile de registres 
25 (55) permettant la memorisation des etats du circuit par une portion de bus 
(34). La portion de bus (34) est reliee materiellement au registre (ID2) de la 
pile (55) par un cablage particulier qui relie le bit (B7) du registre IDT au bit 
(B4) du registre (1D2). le bit (B6) du registre IDT au bit (B1) du registre (ID2). 
le bit (85) du registre IDT au bit (83) du registre (1D2). etc. 
30 Enfin. une demi^re variante permettant I'execution (d'instmctions) 

completement fantaisistes est constituee par le mode de realisation de la 




figure 3B dans lequel le bus (3) est relie par une portion de bus (35) au 
registre IDT de dScodage d'instructions temporaires. Une autre portion (37) 
de bus relie ce registre IDT d une porte OU-Exciusif (39) ^ plusieurs 
entrees. Les autres entr^s de cette porte OU 6tant relives par un bus (38) ^ 

5 un registre (R'2) charg6 par une portion (36) de bus qui le met en relation 
avec le bus (3). Ce registre (R'2) peut §tre charge avec toute information 
telle que celle provenant du g6n6rateur al6atoire (R1), ou du timer, ou de la 
m6moire non volatile NVM (7) par une instruction "MOVE register (R1) (par 
exemple) to register (R'2)". Ce type d'instnjctions de d6placement est bien 

10 connu de I'homme de metier du domaine des microprocesseurs et ne pose 
aucune difficult^ de mise en oeuvre. Le OU-Exclusif entre les informations 
provenant du registre (R'2) et les valeurs chargees dans le registre IDT 
permet de modifier totalement les instructions du programme (P2) et ainsi 
d'executer des instructions compldtement fantaisistes. 

15 On peut aussi utiliser dans le programme (P2) une pluralite de 

sequences qui seront appel6es de fafon al§atoire et chacune de ces 
sequences mettra en oeuvre un ensemble d'instructions diff6rentes qui 
entratneront un temps de traitement variable dans chaque branche et des 
comportements differents du microprocesseur. Les s6quences pourront etre 

20 appel6es de fagon aleatoire, par exemple, apr§s que le programme principal 
ait effectue le saut au programme secondaire, ce dernier charge une valeur 
al§atoire V provenant de la memoire (7) dans deux registres, par exemple, 
(T21) et (T22) du microprocesseur (1). Le programme secondaire 
incremente cette valeur V, puis le programme commande la memorisation de 

25 cette valeur incrementee dans la m§moire non volatile (7). Cette valeur 
m6morisee dans la memoire non volatile (7) est destin6e d une utilisation 
ulterieure. Le programme secondaire preldve ensuite n bits de polds forts ou 
faibles dans (T21) afin d'obtenir une valeur r qui permettra de designer la 
s§quence de programme a executer parmi les differentes sequences de 

30 programme secondaire. 
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Dans un troisiSme mode de r6alisation. le g6n6rateur al6atoire (2) 
est interrogeable par le processeur (1) a travers le bus (3) par ur^e 
instruction de lecture afin de connartre son 6tat. soit en lisant dlrectement 
une impulsion d6temiin6e. soit en en regroupant plusieurs. soit encore en 
5 consid6rant le contenu du registre (R2) charge ^ partir du g§n6rateur 
al§atoire (2). Lorsque le programme principal veut se prot§ger. il passe le 
contrdle au programme secondaire d'une fagon similaire au m6canisme vu 
pr6c6demment. 

Bien entendu. il est possible de combiner les effets des modes de 
10 r6alisation pr6c6dents. en ayant. d'une part une horloge ateatoire et d'autre 
part, la possibility d'interrompre le d§roulement du programme principal, soit 
par lui-m§me. soit par un syst§me d'interruption aleatoire qu'il autorise ou 
non. 

On voit ainsi que le d§roulement du programme principal est realise 
15 selon un s6quencement absolument impr6visible qui depend, soit du 
g6n6rateur al§atoire. soit du programme, soit du timer, soit du programme 
secondaire. soit encore de deux, trois ou quatre 6l6ments ^ la fois. Lorsque 
le programme principal execute des fonctions non sensibles sur le plan 
s6curitaire. il peut ainsi recourir au fonctionnement nomial, par example 
20 pour d61ivrer des r6sultats au monde ext§rieur ou encore masquer les 
interruptions de d§corr6lation du timer (R3) ou du g6nerateur aleatoire (2) 
de fa?on S optimiser le temps de traitement. Des qu'une fonclion s§curitaire 
est mise en oeuvre. le programme principal (P1) autorise le fonctionnement 
en mode aleatoire en validant les interruptions de decon-elation afin de 

25 "brouiller" le fonctionnement. 

Un quatri§me mode de r§alisation. illustre egalement par la figure 1 
pennet d'utiliser les memoires RAM (51) et (52) en simultaneity. En effet. si 
I'on suppose que Ton puisse arriver a ddtecter les commutations des 
m6moires et des registres associ§s. on pourrait 6ventuellement faire une 

30 analyse en 61iminant les sequences utilisant la memoire « trompe-roeil » 
(52). Pour eviter cet eventualite, ce mode de realisation pemnet de valider 
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simultanement les m6molres (51) et (52) en parallele pendant une premiere 
phase. Ceci suppose, bien entendu. que la mimoire (52) poss6de, dans ce 
cas. une tailie au moins 6gale d celle de la zone utilisSe par le programme 
(PI) dans la memoire (51) lorsqu'il travallle avec cette demiere. De cette 

5 maniSre, les contenus des deux zones de memoire utilis6es par le 
programme (PI) respectivement dans les memoires (51) et (52) sont 
initialises et utilises par ce programme de fagon identique pendant cette 
premiere phase. Une variante peut conslster a ne valider par chargement du 
circuit d'aiguiilage (53) avec la configuration necessaire que Tun des deux 

10 registres (D2) ou (D3) pendant les cycles de lecture, pour 6viter les 
6ventuels conflits, mais cela ne change pas fondamentalement ('invention. 
On ne peut done distinguer quelle est la memoire qui sert r6ellement 
pendant cette phase. 11 est alors possible, pendant une deuxidme phase, de 
commuter les m6moires altemativement et de fagon al§atoire par des 

15 modifications du registre du circuit d'aiguiilage (53), tout en continuant 
d'ex6cuter le mSme programme (PI). On ne pourra done plus corr§ler 
rex6cution d'un programme ou d'un autre avec la RAM ou les registres 
utilises. Dans une troisi^me phase, on commute sur la m6moire « trompe- 
I'oeil » (52) en passant sur le programme (P2) comme d6crit pr6c6demment, 

20 et ce, d des instants impr6visibles, le retour a la memoire principale de 
travail (51) s'effectue aussi k des instants imprevislbles, le processus 
pouvant se reproduire a volonte sous le controle du programme principal 
(T1 ) qui veut se proteger. 

Enfin, le dernier probleme pose par I'invention consiste d pouvoir 

25 quitter le mode « trompe-l'oeil » du programme (P2) pour revenir au mode 
de fonctionnement normal avec le programme (P1). Juste avant de passer le 
controle au programme (P2), le programme (PI) autorise les interruptions 
provenant soit du gen§rateur aleatoire, soit du timer, non sans savoir 
initialise ce dernier. Pendant le d^roulement du programme anarchique (P2), 

30 survient alors une interruption par le circuit (4) qui passe la main d un 
programme d'interruption (PIT). Ce programme, qui est acced6 de fagon 
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dassique par I'interm6diaire d'un vecteur ^interruption, analyse par exemple 
le contexte d'ex6cution du programme en cours. Si (P2) est actif. PIT 
repasse le controle au programme (PI). Ce m6canisme peut s'effectuer de 
la fa^on suivante : lors de l'ex6cution des premieres instructions du 
5 programme PIT. celui^i peut par exemple etre constitu6. comme represents 
d la figure 4. par une lecture (41) du contenu du circuit d'aiguillage (53) puis 
un test (42) pour detenniner si les infonnations contenues dans le circuit 
(53) correspondent au fonctionnement en mode « trompe-roeil ». Dans 
raffimiative. le programme PIT ex6cute une instruction de retour au 
0 programme (P1) represents par I'etape (43). ce retour est provoque par 
l'6criture du registre d'aiguillage (53) selon l'6tape (44) qui consists ^ 
modifier les valeurs des lignes (534) et (531). Cette nouvelle 6criture (44) 
dans le registre d'aiguillage (53) permet de revenir en mode normal modifie 
les valeurs de la ligne (534) et de la ligne (531) de fagon S autoriser ^ 
15 nouveau I'utilisation de la pile (54) et de la memoire de travail princpale 
(51) Cette instmction de retour au programme (PI) peut s'executer 
directement apres le test « trompe-l'oeiU (42) ou aprSs l'ex6cution d'un 
certain nombre d'autres instaictions non representees qui pennettent de 
generer un temps aleatoire. Dans le cas ou le test (42) est n6gatif. le 
20 programme se poursuit a I'etape (45) par une ecriture du registre d'aiguillage 
(53) pour basculer en mode « trompe-l'oeil » de fagon ^ modifier les valeurs 
des lignes (535) et (532) pour autoriser I'utilisation de la pile de registre (55) 
et de la memoire « trompe-l'oeil . et de fa?on a verrouiller les circuits 
commandes par les ( 531 ) et (534). 
25 On remarquera. que dans tous ces modes de realisation, il n'est pas 

necessaire d'utiliser une horloge aleatoire. Au contraire. la distribution 
d'horloge peut rester tout a fait dassique et isochrone. ce qui pennet une 
conception fadle des drcuits ainsi que leur simulation et leur test. En fait, la 
securite ne provient plus du fait que le processeur est cadence 
30 aieatoirement. elle se situe au niveau de I'execution proprement d.te des 
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programmes, et ceci en synchronisme ou non avec une horloge isochrone; 
c'est rexScution elle meme qui est brouillee. 

L'organisation des programmes executes par le processeur peut etre 
r6alis6e de telle manidre que le fonctionnement du processeur soit pilot6 par 

5 un veritable systeme Sexploitation securitaire qui decide du type de 
brouillage a mettre en oeuvre en fonclion du type de programme ex§cut§ par 
la machine. Dans ce cas c'est le syst6me d'exploitation qui g6re comme bon 
lui semble les divers signaux provenant du generateur aleatoire. des 
interruptions, du lancement des programmes principal et secondaire. II est 

10 Clair que le programme secondaire peut Stre utilis§ pour r6aliser d'autres 
fonctions qu'une simple boucle d'attente, notamment des traitements qui 
peuvent etre utiles au programme principal, de fa?on a tirer parti du temps 
dedie au programme secondaire. ces traitements pouvant Stre constitues , 
par exemple, par des preparations de calculs utilises ult6rieurement par le 

15 programme principal. Bien entendu, on peut facilement g6n6raliser les 
m§canismes de invention lorsque le processeur fonctionne en multi- 
application, les programmes d'application pouvant alors §tre consider6s 
comme autant de programmes principaux. 

Le g6n6rateur al§atoire et le timer vus plus haut ne posent pas de 

20 problemes particuliers de realisation et sont connus de I'homme de Tart 
lorsqu'ils sont utilises s6parement pour d'autres usages n'ayant aucun lien 
avec rinvention. 

Pour le generateur aleatoire. on peut. par exemple, utiliser des 
compteurs reboudes ayant des periodes differentes. ces compteurs etant 

25 initialises par une information tfinitialisation stockee en memoire non volatile 
(7). Lorsque le processeur demarre. les compteurs prennent en compte la 
valeur stockee comme valeur de depart. En cours de calcul ou a la fin.z la 
memoire non volatile est mise d jour avec une nouvelle valeur qui va servir 
d'information ^initialisation pour initialiser les compteurs d la prochaine 

30 initialisation. La generation des impulsions d'internjption vues plus haut peut 
alors se produire lorsque le nombre genere possdde certaines 
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caracteristiques telles que r6galit6 avec certaines donnees du programme. 
On peut aussi prendre la valeur d'un ou plusieurs bits d'un ou plusieurs 
compteurs. II est 6galement possible de realiser un tr§s bon g§n6rateur 
al§atoire en utilisant un algorithme cryptographique ou une fonction de 
5 hachage. initialises par I'infonnation d'initialisation vue plus haut. Dans ce 
cas. le g§n6rateur peut 6tre r6alis§ sous la forme d'un programme mettant 
en oeuvre Talgorithme. On voit facilement que ce generateur de nombre 
al6atoire peut §tre egalement utilise pour engendrer les divers nombres 
aleatoires vus plus haut. Une autre mani§re de realiser un tel g6n§rateur est 
1 0 d'ampllfier la tension engendr6e aux bomes d'une diode dite "de bruit " et de 
mettre en forme les signaux apres un filtrage passe bas pour 6viter que les 
impulsions de bruit trop rapide ne perturbent le fonctionnement du 
microprocesseur. 
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REVENDiCATiONS 

1 . Microprocesseur ou microcalcxilateur impr6visible, comprenant un 
5 processeur (1), une premiere (51) memoire de travail, une m6moire 

principale (6) contenant un systdme Sexploitation, un programme principal 
(P1) et un programme secondaire (P2). caracterise en ce qu'il possdde 
egalement : 

- une seconde (52) m6moire de travail; 

10 - des moyens de commutation permettant, pendant rex6cution des 

programmes, de commuter {'utilisation comma memoire de travail vers Tune 
de ses deux m§moires de travail (51 . 52). tout en conservant leur contenu; 

- ces moyens de commutation comprenant au moins un bloc de 
registres (54) de memorisation du contexte de deroulement des programmes 

15 dans la memoire principale et un circuit d' aiguillage (53) pour la validation 
d'une des memoires de travail et des registres d'acces (A1-A3). (D1-D3) 
associes § chaque memoire (51, 52, 6) et controles par ledit circuit 
d'aiguillage (53). 

2. Microprocesseur ou microcalculateur impr6visible selon la 
20 revendication 1 . caracterise en ce qu'il possede un second bloc de registres 

(55) de memorisation du contexte de deroulement du programme 
secondaire. 

3. Microprocesseur ou microcalculateur imprevisible selon Tune des 
revendications precedentes, caracterise en ce quMI possede des moyens 

25 (R1. R2. R3) de d6correlation du deroulement des programmes par rapport ^ 
une horloge isochrone. 

4. Microprocesseur ou microcalculateur selon Tune des 
revendications precedentes, caracterise en ce que le programme principal 
peut autoriser ou inhiber le ou les mecanismes de commutation, par 

30 chargement du circuit (53) d'aiguillage et de validation des memoires de 
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travail (51. 52) et des blocs de registres de memorisation (54.55) assoc.6s a 
chaque m6moire de travail (51 . 52) respective. 

5 Microprocesseur ou microcalculateur impr6visible selon I'une des 
rev'endications pr^cedentes. caracter.se en ce que la deuxieme m6mo.re de 
travail (52) et ses registres tfacces (A3. D3) se substituent dans son 
utilisation par un programme principal. S la premiere m6mo.re (51) et ses 

propres registres d'acc§s (A2. D2). 

6 Microprocesseur ou microcalculateur imprevisible selon la 
revendication 3. caract6rise en ce que les moyens de decorr^lation 
comprennent un g6n6rateur al6ato.re (2) pemnettant de declencher par le 
circuit d'intemiption (4) une interruption aleatoire de desynchronisation de 
rexecution des programmes dans le processeur. par branchement al6ato.re 

sur le programme secondaire (P2). 

7 Microprocesseur ou microcalculateur selon les revendications 4 
ou 6 caracterise en ce que les moyens de decorrelat.on comprennent un 
systeme de comptage de temps (R3) independent du processeur (1) 
pemiettant i la fin du comptage de temps de declencher une interruption 
pour revenir du programme secondaire au programme principal. 

8 Microprocesseur ou microcalculateur impr6vislble selon les 
20 revendications 4. ou 6.ou 7 ou leur combinaison. caracteris6 en ce que le 

moyen de commutation (53. 54. 55. A2. A3. D2. D3)) des m6moires de 
travail est commande. soit par le processeur et son programme, sort par le 
systeme ^interruption aleatoire (2. 4). soit par un compteur de temps (R3). 
soit encore par une combinaison quelconque d'au moins deux pami. les 

25 trois. , „ 

9 Microprocesseur ou microcalculateur imprevisible selon I une des 

revendications pr^dentes ou de leur combinaison, caract4ris4 en ce que 
moyen de commutation (53, 54, 55, A2, A3, D2, D3), des m^moires de 
travail est valid* par le chargement k pamr du processeur (1) executant une 
30 sequence du programme principal. 
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10. Microprocesseur ou microcalculateur impr6visible selon Tune 
des revendications prec6dentes, caracterise en ce que le programme 
secondaire (P2) utilise un espace de travail identique a celui du programme 
principal (P1) dans la m6moire principale (6), 

11. Microprocesseur ou microcalculateur imprevisible selon Tune 
des revendications pr6c6dentes, caracteris6 en ce que te programme 
secondaire (P2) utilise un espace de travail plus petit que celui du 
programme principal (P1). 

12. Microprocesseur ou microcalculateur imprevisible selon Tune 
des revendications pr6c6dentes, caracterise en ce que le moyen de 
commutation effectue la substitution des memoires de travail (51, 52, 53, 54, 
55. A2. A3, D2. D3)) et des contextes associes, a Tinterieur du cycle 
tfexecution d'une instruction du microprocesseur. 

13. Microprocesseur ou microcalculateur imprevisible selon Tune 
des revendications precedentes, caracterise en ce que le programme 
secondaire (P2) ne modifie pas le contexte general de fonctionnement du 
programme principal (PI) afin de permettre le retour a ce dernier sans avoir 
^ retablir ce contexte. 

14. Microprocesseur ou microcalculateur imprevisible selon la 
revendication 13, caracteris§ en ce que le contexte du programme principal 
(P1) est retabli soit automatiquement par le programme secondaire (P2), soit 
automatiquement par le moyen de commutation (53). avant de redonner le 
controle au programme principal (PI). 

15. Microprocesseur ou microcalculateur imprevisible selon Tune 
des revendications precedentes. caracterise en ce qu'il comporte des 
moyens de substitution de la memoire du programme secondaire (P2) a la 
memoire du programme principal (PI). 

16. Microprocesseur ou microcalculateur imprevisible selon Tune 
des revendications prec6dentes, caracterise en ce que le programme 
principal (PI) peut utiliser altemativement ou simultanement la premiere 
memoire de travail (51) et/ou la seconde memoire de travail (52). 
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17 Mioropracesseur ou miorocalculateur imprSvisible, caraC^is* en 
ce que ehargement du circuit d'aiguiUage (53) permet le masquage ou le 
d^masquage des interruptions de dto.rraation. en 

18 Microprocesseur ou microcalculateur innprev.sible. caract4ns6 en 

ce que ie retour au programme pri^pal (PI) s'effectue par une imera.pU^ 

dJen*.e par ,e prog,a™,e se»ndaire (P2) apres 

d'aiguiliage (53) aU convenabien«n. charge, par ^^"^ 
instrucuon du progamme principal (PI) cu du programme seconda,re (P2), 

pour demasquer les interruptions. 

19.Microprocesseuroumicrocalculateur.mprev.sible.^^^^^ 

ce quMI est realise dans un circuit int6gr6 monolithique. 
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10. Microprocesseur ou microcalculateur imprevisible selon I'une 
des revendications precedentes. caracterise en ce que le programme 
secondaire (P2) utilise un espace de travail identique S celui du programme 
principal (P1) dans la memoire principale (6). 

11. Microprocesseur ou microcalculateur imprevisible selon I'une 
des revendications 1 a 9. caract6ris6 en ce que le programme secondaire 
(P2) utilise un espace de travail plus petit que celui du programme principal 
(P1). 

12. Microprocesseur ou microcalculateur Imprevisible selon I'une 
des revendications precedentes. caract6ris6 en ce que le moyen de 
commutation effectue la substitution des memoires de travail (51, 52, 53, 54, 
55. A2, A3, D2, D3)) et des contextes associes, ^ I'interieur du cycle 
d'execution d'une instruction du microprocesseur. 

13. Microprocesseur ou microcalculateur imprevisible selon I'une 
des revendications precedentes, caracterise en ce que le programme 
secondaire (P2) ne modifie pas le contexte g§n6ral de fonctionnement du 
programme principal {P1) afin de permettre le retour a ce dernier sans avoir 
i r6tablir ce contexte. 

14. Microprocesseur ou microcalculateur imprevisible selon la 
revendication 13, caracterise en ce que le contexte du programme principal 
(P1) est retabli soit automatiquement par le programme secondaire (P2), soit 
automatiquement par le moyen de commutation (53), avant de redonner le 
controle au programme principal (PI). 

15. Microprocesseur ou microcalculateur imprevisible selon I'une 
des revendications precedentes, caracterise en ce qu'il comporte des 
moyens de substitution de la memoire du programme secondaire (P2) a la 
memoire du programme principal (P1 ). 

16. Microprocesseur ou microcalculateur imprevisible selon I'une 
des revendications precedentes, caracterise en ce que le programme 
principal (PI) peut utiliser alternativement ou simultanement la premiere 
memoire de travail (51 ) eVou la seconde memoire de travail (52). 
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